Schrems II-dommen har to væsentlige konsekvenser for overførsler af persondata
til USA og til tredjelande. KL skriver i sine anbefalinger til kommunerne.
til USA og til tredjelande. KL skriver i sine anbefalinger til kommunerne.
1) USA:
EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte ”Privacy Shield”-ordning (efterfølgeren til ”Safe Harbour”) ikke længere er et gyldigt overførselsgrundlag.
Domstolen har vurderet, at ”Privacy Shield”-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA’s lovgivning om national sikkerhed mv. giver myndigheder særlige beføjelser i forhold til adgangen til data.
Afvisningen af ”Privacy Shield” som gyldigt overførselsgrundlag betyder, at man som dataansvarlige skal anvende et andet overførsels- grundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se pkt. to nedenfor.
2) Tredjelande generelt, herunder USA
EU-domstolen fastslår, at det er i orden at bruge standardkontrakter som overførselsgrundlag. Men EU-domstolen stiller i dommen generelt en række yderligere krav ved brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller til andre tredjelande.
Men de ekstra krav, der stilles, er det i praksis ikke hensigtsmæssigt, at en dataansvarlig i en dansk kommune alene skal opfylde. Der stilles krav om, at den dataansvarlige skal vurdere, hvorvidt lovgivningen i de enkelte tredjelande respekterer de krav til beskyttelse af persondata, som EU-lovgivningen stiller. Og hvis det ikke er tilfældet, skal man ligeledes analysere, hvilke supplerende foranstaltninger der skal aftales med cloudleverandøren.
Pernille Jørgensen: “Udover databehandleraftalen skal kommunen også lave en standardkontrakt. Men domstolens afgørelse siger også - selv hvis du har en databehandleraftale og en standardkontrakt, skal kommunen derudover vurdere, om det land uden for EU, som modtager data, har forhold som databeskyttelsesretligt er tilsvarende reglerne i GDPR. Og hvis det ikke er tilfældet, hvilke foranstaltninger der så i øvrigt skal aftales med databehandleren for at sikre tilstrækkelig beskyttelse af data. Men det giver ikke mening, at hver enkelt dataansvarlig i en kommune skal varetage denne opgave.”
“Derfor har KL i vores høringssvar til Justitsministeriet i forbindelse med den nationale evaluering af databeskyttelsesreglerne slået til lyd for, at vurderingen af modtagerlandene og cloudleverandørerne og de øvrige foranstaltninger, der eventuelt kræves, sker på EU-niveau eller på nationalt niveau. Det er helt forkert, hvis den opgave lander i kommunerne. Det er de samme leverandører, myndighederne bruger, og det er i de fleste tilfælde også de samme lande, der modtager dataene. Derfor giver det god mening, at det arbejde bliver gjort en gang for alle, så en dataansvarlig i en kommune kan henvise til en central vurdering og tilsvarende anvisninger. Alle myndigheder, private virksomheder, offentlige virksomheder har interesse i at få løst dette problem løst centralt,” siger Pernille Jørgensen.
Generelt efterlyses der i høringssvaret en opdateret vejledning om reglerne for overførsler til tredjelande.
Ekstra aftalegrundlag
Der er altså et ekstra aftalegrundlag, der skal være til stede ved persondata overførsler til USA, ifølge Schrems II. Udover databehandleraftalen skal der indgås en standardkontrakt samt foretages en vurdering af landets databeskyttelsesretlige forhold og behovet for supplerende foranstaltninger.
EU-Domstolens afgørelse siger, at afsender skal sikre sig, at modtager overholder grundlaget for dataoverførslerne.
Hvis kommunerne overfører personlige data til et tredjeland i Afrika, skal de ligeledes , udover standardkontrakten, sikre sig, at modtagerlandet i Afrika overholder reglerne for dataoverførsler, altså regler tilsvarende GDPR-forordningen. Og eventuelt aftale supplerende foranstaltninger med deres leverandør.
“ Det er KLs vurdering, at der fra alle sider vil være stor interesse i at få fundet smidige løsninger til brug for overførsler af data til USA og andre tredjelande. – I stedet for, at hver enkelt dataansvarlig skal indgå særskilte standardkontrakter med deres leverandører og dertil foretage yderligere konkrete vurderinger af bl.a. tredjelandenes lovgivning,” siger Pernille Jørgensen.
EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte ”Privacy Shield”-ordning (efterfølgeren til ”Safe Harbour”) ikke længere er et gyldigt overførselsgrundlag.
Domstolen har vurderet, at ”Privacy Shield”-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA’s lovgivning om national sikkerhed mv. giver myndigheder særlige beføjelser i forhold til adgangen til data.
Afvisningen af ”Privacy Shield” som gyldigt overførselsgrundlag betyder, at man som dataansvarlige skal anvende et andet overførsels- grundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se pkt. to nedenfor.
2) Tredjelande generelt, herunder USA
EU-domstolen fastslår, at det er i orden at bruge standardkontrakter som overførselsgrundlag. Men EU-domstolen stiller i dommen generelt en række yderligere krav ved brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller til andre tredjelande.
Men de ekstra krav, der stilles, er det i praksis ikke hensigtsmæssigt, at en dataansvarlig i en dansk kommune alene skal opfylde. Der stilles krav om, at den dataansvarlige skal vurdere, hvorvidt lovgivningen i de enkelte tredjelande respekterer de krav til beskyttelse af persondata, som EU-lovgivningen stiller. Og hvis det ikke er tilfældet, skal man ligeledes analysere, hvilke supplerende foranstaltninger der skal aftales med cloudleverandøren.
Pernille Jørgensen: “Udover databehandleraftalen skal kommunen også lave en standardkontrakt. Men domstolens afgørelse siger også - selv hvis du har en databehandleraftale og en standardkontrakt, skal kommunen derudover vurdere, om det land uden for EU, som modtager data, har forhold som databeskyttelsesretligt er tilsvarende reglerne i GDPR. Og hvis det ikke er tilfældet, hvilke foranstaltninger der så i øvrigt skal aftales med databehandleren for at sikre tilstrækkelig beskyttelse af data. Men det giver ikke mening, at hver enkelt dataansvarlig i en kommune skal varetage denne opgave.”
“Derfor har KL i vores høringssvar til Justitsministeriet i forbindelse med den nationale evaluering af databeskyttelsesreglerne slået til lyd for, at vurderingen af modtagerlandene og cloudleverandørerne og de øvrige foranstaltninger, der eventuelt kræves, sker på EU-niveau eller på nationalt niveau. Det er helt forkert, hvis den opgave lander i kommunerne. Det er de samme leverandører, myndighederne bruger, og det er i de fleste tilfælde også de samme lande, der modtager dataene. Derfor giver det god mening, at det arbejde bliver gjort en gang for alle, så en dataansvarlig i en kommune kan henvise til en central vurdering og tilsvarende anvisninger. Alle myndigheder, private virksomheder, offentlige virksomheder har interesse i at få løst dette problem løst centralt,” siger Pernille Jørgensen.
Generelt efterlyses der i høringssvaret en opdateret vejledning om reglerne for overførsler til tredjelande.
Ekstra aftalegrundlag
Der er altså et ekstra aftalegrundlag, der skal være til stede ved persondata overførsler til USA, ifølge Schrems II. Udover databehandleraftalen skal der indgås en standardkontrakt samt foretages en vurdering af landets databeskyttelsesretlige forhold og behovet for supplerende foranstaltninger.
EU-Domstolens afgørelse siger, at afsender skal sikre sig, at modtager overholder grundlaget for dataoverførslerne.
Hvis kommunerne overfører personlige data til et tredjeland i Afrika, skal de ligeledes , udover standardkontrakten, sikre sig, at modtagerlandet i Afrika overholder reglerne for dataoverførsler, altså regler tilsvarende GDPR-forordningen. Og eventuelt aftale supplerende foranstaltninger med deres leverandør.
“ Det er KLs vurdering, at der fra alle sider vil være stor interesse i at få fundet smidige løsninger til brug for overførsler af data til USA og andre tredjelande. – I stedet for, at hver enkelt dataansvarlig skal indgå særskilte standardkontrakter med deres leverandører og dertil foretage yderligere konkrete vurderinger af bl.a. tredjelandenes lovgivning,” siger Pernille Jørgensen.